信息安全管理要求ISO/IEC27001的前身是英國BS7799的標準，該標準由英國標準協(xié)會(BSI)于1995年2月提出，并于1995年5月進行了修訂。信息安全對于每個企業(yè)或組織都是必要的，因此信息安全管理體系認證具有普遍適用性，不受地區(qū)，行業(yè)類別和公司規(guī)模的限制。從認證公司的現(xiàn)狀來看，更多的行業(yè)涉及電信，保險，銀行，數(shù)據(jù)處理中心，IC制造和軟件外包等行業(yè)。今天我們就來了解一下ISO27001適用性聲明SoA包含內容有哪些的相關內容吧。

　　適用性聲明SoA包含：

ISO27001適用性聲明SoA選擇的控制項以及理由，包括控制項是否已實施的狀態(tài)描述(例如：已完全實施，正在實施中，還未開始)。

ISO27001適用性聲明SoA刪減控制項的理由：選擇控制項的理由在一定程度上取決于控制項對降低信息安全風險方面的效果。參考信息安全風險評估結果和信息安全風險處理計劃，以及實施必要控制措施所期望的信息安全風險修正應該是充分的。

ISO27001適用性聲明SoA刪減的原因可包括： 已確定該控制項不是實現(xiàn)所選信息安全風險處理選項所必需的;該控制項不適用,因為它不在ISMS的范圍內(例如如果組織的所有系統(tǒng)開發(fā)都是內部開發(fā)，則A.14.2.7外包開發(fā)可以不適用);該控制項由自定義的控制項控制(例如如果已經采用DLP系統(tǒng)管控移動介質的使用，則A.8.3.1移動介質的管理可以不適用，A.8.3.1的要求為編制移動介質使用的規(guī)程文件)。

注：自定義的管控措施即不包含在ISO/IEC27001：2013附錄A里的控制措施

如果需要，可以將一個有用的適用性聲明SoA作為一個表生成，該表包含ISO/IEC27001：2013附錄A中所有114個控件，并加上ISO/IEC27001：2013附錄A中未提及的其他控制措施。表中的一列可以指示控制項是否實施風險處理選項所需要，或者是否可以排除。下一列可以包含選擇或排除控件的理由。表的最后一列可以指示控件的當前實施狀態(tài)。可以使用更多的列，例如用于ISO/IEC27001不要求但通常對后續(xù)審查有用的詳細信息;這些詳細信息可以是對如何實施控制的更詳細描述，也可以是對更詳細描述的交叉引用，以及與實施控制相關的文件化信息或政策。

所以可以對適用性聲明SoA的理解不應停留在應對ISO27001標準附錄的一個表，它其實是一個項目進度表，記錄每一項對組織有價值的信息安全控制項的實施進度。

通過上述介紹，對于ISO27001適用性聲明SoA包含內容有哪些的問題，相信大家都已經清楚了，想了解更多關于ISO27001的信息，請繼續(xù)關注中培偉業(yè)。